Wytyczne HIPAA dla pracowników

Mimo, że HIPAA wpływa na przemysł opieki zdrowotnej od końca lat 90-tych, zbyt wiele firm nadal walczy o zgodność z różnymi aspektami prawa. Jeden szczególny obszar słabości dla podmiotów objętych obejmuje ochronę chronionych informacji zdrowotnych swoich pacjentów. Raz po raz, nie udaje im się odpowiednio zabezpieczyć informacji umożliwiających identyfikację osób, które zostały powierzone ich utrzymaniu. Naturalnie, taka niedbała obrona może skutkować licznymi problemami, takimi jak kradzież danych, oszustwa, utrata zaufania klientów, grzywny, a nawet kara więzienia.

Przez lata, jedną z głównych przyczyn braku zgodności z HIPAA jest wynik błędu ludzkiego. W większości przypadków pracownicy nieświadomie otwierają wrota dla wścibskich oczu lub cyberprzestępców z powodu zwykłego braku zrozumienia, wykształcenia lub przemyślenia. Chociaż takie działania rzadko są złośliwe, niewiedza nie jest wymówką łatwo akceptowaną przez Health and Human Services . Dlatego tak ważne jest, abyś upewnił się, że członkowie Twojego zespołu przestrzegają zasad i przepisów HIPAA.

Sprawdź nasze wytyczne HIPAA dla pracowników tutaj!

Czy pracodawców obowiązują przepisy HIPAA?

Jeśli Twoja firma nie mieści się w sferze opieki zdrowotnej, możesz zadać pytanie swojemu zespołowi HR: „Czy pracodawcy są związani przepisami HIPAA?”. Chociaż możesz nie być podmiotem objętym, nadal zbierasz informacje o zdrowiu swoich pracowników dla takich rzeczy, jak Workers Comp lub Americans with Disabilities Act .

Ogólnie rzecz biorąc, HIPAA dotyczy tylko „podmiotów objętych”. Są one definiowane jako:

  1. Plany zdrowotne
  2. Podmioty świadczące usługi opieki zdrowotnej, które elektronicznie przechowują, udostępniają lub wysyłają PHI
  3. Centra rozliczeniowe

W skrócie, HIPAA zazwyczaj nie ma zastosowania do bezpośredniego aktu zbierania osobistych informacji zdrowotnych pracownika; jednak będzie miała zastosowanie do podmiotu opieki zdrowotnej, od którego zbierasz takie informacje.

Oszacuj swoją zgodność z HIPAA / HITECH

Zgodnie z granicami określonymi przez HIPAA, podmioty objęte są upoważnione do ujawniania chronionych informacji zdrowotnych pacjentów tylko wtedy, gdy zezwala na to osoba fizyczna. W szerokim znaczeniu, podmiot objęty ochroną może ujawnić PHI dla celów leczenia; po tym, ograniczenia w ujawnianiu rosną bardziej rygorystycznie. Zazwyczaj to, co może być ujawnione, podlega ograniczeniu „minimum niezbędności” ustanowionemu w HIPAA. Zgodnie z HIPAA sekcja 164.512:

Podmiot objęty obowiązkiem ubezpieczenia może wykorzystywać lub ujawniać chronione informacje zdrowotne bez pisemnego upoważnienia osoby fizycznej, jak opisano w § 164.508, lub możliwości wyrażenia zgody lub sprzeciwu przez osobę fizyczną, jak opisano w § 164.510, w sytuacjach objętych niniejszą sekcją, z zastrzeżeniem obowiązujących wymagań niniejszej sekcji. Jeżeli podmiot objęty obowiązkiem sprawozdawczym jest zobowiązany na mocy niniejszej sekcji do poinformowania osoby fizycznej o wykorzystaniu lub ujawnieniu informacji dozwolonych na mocy niniejszej sekcji lub jeżeli osoba fizyczna może wyrazić zgodę na takie wykorzystanie lub ujawnienie, informacja podmiotu objętego obowiązkiem sprawozdawczym oraz zgoda osoby fizycznej mogą być przekazane ustnie.

Podmioty współpracujące

W 2009 r. amerykańska ustawa o reinwestycji i naprawie gospodarczej (American Reinvestment and Recovery Act, ARRA) rozszerzyła parasol HIPAA, aby objąć podmioty współpracujące, które są zdefiniowane przez HHS jako: „Osoba lub podmiot, który wykonuje określone funkcje lub czynności, które wiążą się z wykorzystaniem lub ujawnieniem chronionych informacji zdrowotnych w imieniu podmiotu objętego obowiązkiem ubezpieczenia lub świadczy usługi na rzecz tego podmiotu. Członek personelu podmiotu objętego obowiązkiem ubezpieczenia nie jest partnerem biznesowym. Podmiot świadczący usługi opieki zdrowotnej, plan zdrowotny lub dom rozliczeniowy opieki zdrowotnej może być partnerem biznesowym innego podmiotu objętego obowiązkiem ubezpieczenia.”

Przykłady funkcji i działań współpracownika biznesowego mogą obejmować:

  • Analizę danych
  • Przetwarzanie danych
  • Administrowanie danymi
  • Przetwarzanie roszczeń
  • Administrowanie roszczeniami
  • Użytkowanie. przegląd
  • Zapewnienie jakości
  • Billing
  • Zarządzanie świadczeniami
  • Zarządzanie praktyką
  • Repricing

Więc, usługi business associate mogą obejmować dowolny z następujących zawodów:

  • Prawne
  • Księgowe
  • Administracyjne
  • Konsulting
  • Gregacja danych
  • Zarządzanie danymi
  • Dane zarządzanie danymi
  • Akredytacja danych
  • Finanse

Wskazówki HIPAA dla pracowników

Co to jest PHI?

Jeśli Twoja firma jest podmiotem objętym ochroną lub współpracownikiem biznesowym, ważne jest, abyś Ty i Twoi pracownicy szczególnie dbali o chronione informacje zdrowotne swoich klientów. Ale co jest uważane za PHI? Według Dziennika HIPAA jest to:

Każda możliwa do zidentyfikowania informacja zdrowotna, która jest używana, utrzymywana, przechowywana lub przekazywana przez podmiot objęty HIPAA lub podmiot stowarzyszony z podmiotem objętym HIPAA, w odniesieniu do świadczenia opieki zdrowotnej lub płatności za usługi opieki zdrowotnej. Zgodnie z zasadami HIPAA za PHI uważa się nie tylko przeszłe i bieżące informacje o stanie zdrowia, ale także przyszłe informacje o stanach chorobowych lub zdrowiu fizycznym i psychicznym, związane z zapewnieniem opieki lub zapłatą za opiekę. PHI to informacje zdrowotne w dowolnej formie, w tym zapisy fizyczne, zapisy elektroniczne lub informacje mówione.

18 identyfikatorów, które kwalifikują się jako PHI to:

  • Numery kont
  • Dowolny unikalny numer identyfikacyjny lub kod
  • Identyfikatory biometryczne (odciski palców, skan siatkówki)
  • Numery certyfikatów/licencji
  • Daty, z wyjątkiem roku
  • Numery identyfikacyjne urządzeń i numery seryjne
  • Adresy e-mail
  • Numery faksu
  • Zdjęcia całej twarzy i porównywalne obrazy
  • Dane geograficzne
  • Numery beneficjentów planu zdrowotnego
  • Adresy protokołów internetowych
  • Numery numery kartotek medycznych
  • Nazwiska
  • Numery ubezpieczenia społecznego
  • Numery telefonów
  • Numery identyfikacyjne i numery seryjne pojazdów, w tym tablice rejestracyjne
  • Adresy URL stron internetowych

Zabezpieczenia administracyjne

Jeśli jesteś podmiotem objętym ochroną lub współpracownikiem biznesowym, Reguła Bezpieczeństwa nakazuje, aby Twoja firma wprowadziła następujące zabezpieczenia administracyjne:

  • Proces zarządzania bezpieczeństwem – Podmioty objęte obowiązkiem są zobowiązane do zidentyfikowania i przeanalizowania potencjalnych zagrożeń dla ePHI. Po dokonaniu tej analizy są zobowiązane do dodania protokołów i procedur bezpieczeństwa w celu zmniejszenia tego ryzyka.
  • Urzędnik ds. bezpieczeństwa – Należy wyznaczyć urzędnika ds. bezpieczeństwa, który będzie odpowiedzialny za tworzenie i stosowanie protokołów i procedur bezpieczeństwa.
  • Zarządzanie dostępem do informacji – Wymagane jest ograniczenie wykorzystania i ujawniania PHI do „niezbędnego minimum”.
  • Szkolenie i zarządzanie pracownikami – Są Państwo prawnie zobowiązani do zapewnienia zarówno odpowiedniego nadzoru, jak i szkolenia każdego pracownika, który ma do czynienia z ePHI. Obejmuje to instruowanie ich w zakresie polityki bezpieczeństwa, procedur i sankcji za nieprzestrzeganie przepisów.

Jeśli Twoja firma regularnie obsługuje poufne informacje o klientach, jesteś zobowiązany przepisami prawa do ich ochrony. Wprowadzając obowiązek szkolenia w zakresie zgodności z HIPAA, podejmujesz właściwe środki zapobiegawcze, a w przypadku niepowodzenia możesz wykazać zewnętrznym źródłom, że zrobiłeś wszystko, co w Twojej mocy, aby wyszkolić swoich pracowników do prawidłowego działania.

Wspólne naruszenia HIPAA i faux pas wśród pracowników

Jak wspomniano, pracownicy są najczęstszą przyczyną naruszeń HIPAA. Zdecydowana większość takich przypadków niewłaściwego postępowania jest po prostu wynikiem lenistwa i braku szkoleń. Pracownicy nie wiedzą lepiej, mimo że powinni, a następnie działają z niekompetencji. Mając to na uwadze, Twoim obowiązkiem jest regularne edukowanie pracowników na temat zagrożeń wynikających z nieprzestrzegania przepisów HIPAA, zarówno dla nich samych, jak i dla firmy, w której pracują.

Szkolenie w zakresie zgodności z HIPAA ma na celu nauczenie pracowników właściwego postępowania z informacjami ePHI, tak aby:

  1. Zapewnić poufność, integralność i dostępność wszystkich e-PHI, które tworzą, otrzymują, utrzymują lub przekazują;
  2. Zidentyfikować i chronić przed racjonalnie przewidywanymi zagrożeniami dla bezpieczeństwa lub integralności informacji;
  3. Zabezpieczyć przed racjonalnie przewidywanymi, niedopuszczalnymi zastosowaniami lub ujawnieniami; oraz
  4. Zapewnić przestrzeganie przepisów przez swoich pracowników.

Aby pomóc Ci w stworzeniu listy kontrolnej zgodności pracodawcy z przepisami HIPAA, ważne jest, abyś był świadomy powszechnych naruszeń, w które zazwyczaj angażują się pracownicy, jak również działań zapobiegawczych, które możesz podjąć. Należą do nich:

  • Szperanie w aktach pacjentów – Według Dziennika HIPAA:

Snooping był największą pojedynczą przyczyną narażenia informacji zdrowotnych pacjentów zgodnie z ankietą z 27% doświadczyło naruszenia, gdy pracownik przeglądał dokumentację medyczną przyjaciół i rodziny, podczas gdy 35% wystąpiło, gdy pracownicy sprawdzali dokumentację medyczną swoich kolegów z pracy.

Pracownik, który nielegalnie uzyskuje dostęp do PHI klienta w celach niezwiązanych z pracą, działa zarówno nieprofesjonalnie, jak i lekkomyślnie. Niezależnie od tego, czy robi to ze złośliwości, ciekawości czy przyjaźni, jest to działanie nielegalne i może wyrządzić poważną szkodę Twojej firmie.

Działania, które możesz podjąć, aby zapobiec takim działaniom, obejmują ograniczenie dostępu do dokumentacji pacjentów lub pracowników, chyba że jest to wyraźnie wymagane do celów służbowych.

  • Nieumiejętne posługiwanie się dokumentacją medyczną – HIPAA wymaga, aby wszelka drukowana dokumentacja medyczna zawierająca PHI była przechowywana w bezpiecznym miejscu. Jeśli pielęgniarka zostawi akta poprzedniego pacjenta w sali egzaminacyjnej i akta te mogą zostać przeczytane, udostępnione lub skradzione innemu pacjentowi, stanowi to wyraźne naruszenie przepisów HIPAA. Dlatego należy zakrywać karty tak, aby nazwiska pacjentów lub informacje umożliwiające identyfikację nie były widoczne. Nie należy również pozostawiać kartotek lub podobnych informacji PHI bez nadzoru; zamiast tego należy wprowadzić politykę natychmiastowego przechowywania kart, testów i innych dokumentów pacjenta po zakończeniu badania.
  • Media społecznościowe – Nieumiejętne korzystanie z mediów społecznościowych spowodowało wiele problemów zarówno dla firm, jak i osób prywatnych. Zamieszczanie zdjęć twarzy klientów, zwłaszcza bez ich wyraźnej zgody, jest jednym z najprostszych sposobów, w jaki można naruszyć HIPAA. Chyba że pacjent daje zielone światło, publikując ich zdjęcie może potencjalnie narazić je na innych odkrywając, że idą do tego konkretnego lekarza na to, co może być prywatne i / lub wstydliwy powód.Jeśli chcesz uniknąć błędów mediów społecznościowych, sprawiają, że bardzo jasne, do osoby odpowiedzialnej za social media i / lub pracowników, aby być bardzo ostrożnym o tym, co robisz lub nie post. Przekaż im, jak nawet niewinny post może potencjalnie spowodować szereg negatywnych konsekwencji dla nich, firmy, a co najważniejsze, pacjenta.

  • Pracownicy omawiający informacje o pacjencie – Czy to w pracy, czy w domu, pracownicy nie powinni nigdy rozmawiać lub plotkować o wcześniej widzianych pacjentach, chyba że obecnie pracują nad ich przypadkiem. Dotyczy to w szczególności prowadzenia takich rozmów w miejscach, w których niepowiązani pracownicy lub pacjenci mogliby podsłuchiwać, a tym samym pozyskiwać informacje PHI. Wielu pracowników popełnia błąd, rozmawiając o pacjentach z przyjaciółmi, rodziną lub innymi współpracownikami, co stanowi poważne naruszenie przepisów HIPAA. Zachęcaj swoich pracowników do unikania rozmów o pacjentach, a nawet zwracania się do nich po nazwisku w obecności innych osób, które nie mają związku z ich przypadkiem. Podkreślaj również fakt, że ustne rozpowszechnianie informacji PHI jest takim samym naruszeniem, jak fizyczne dzielenie się dokumentami pacjenta.
  • Zgubione lub skradzione urządzenia – Telefony, tablety i laptopy służbowe stanowią szczególny rodzaj zagrożenia bezpieczeństwa, zwłaszcza że są o wiele bardziej podatne na kradzież, utratę lub włamanie cybernetyczne.Jeśli pracownik zgubi lub zostanie mu skradzione urządzenie służbowe, powinien natychmiast to zgłosić. Ponadto, każde urządzenie związane z pracą, które ma dostęp do informacji PHI, powinno mieć zainstalowane środki bezpieczeństwa, aby zapobiec nieuzasadnionemu dostępowi. Kroki, które można podjąć, obejmują:
    • Szyfrowanie
    • Hasła z podwójnym uwierzytelnianiem
    • Skanowanie biometryczne
    • VPN sign-ins
  • Wiadomości z informacjami o pacjencie – Niektóre podmioty objęte obowiązkiem ochrony będą używać systemów wiadomości lub swoich telefonów do udostępniania określonych informacji. Nawet jeśli dzieje się to po prostu z wygody i szybkości, włączenie PHI za pośrednictwem aplikacji do przesyłania wiadomości naraża te informacje na wścibskie oczy. Jeśli chcesz, aby pracownicy mogli omawiać informacje o pacjencie za pośrednictwem wiadomości lub tekstów, konieczne jest, aby każdy pracownik zainstalował aplikację szyfrującą w celu ochrony tych danych.
  • Narażanie PHI na komputerach domowych – Naturalnie, lekarze muszą mieć możliwość przeglądania spraw z zacisza własnego domu. Może to oznaczać, że ich komputer lub laptop zawiera informacje PHI. Samo w sobie takie działanie nie jest naruszeniem HIPAA; jeśli jednak pozostawiliby te informacje na ekranie bez nadzoru, mogłyby one zostać obejrzane przez niepożądane oczy. Stanowi to naruszenie przepisów HIPAA.

Jako pracodawca, zachęcaj swoich pracowników do zamykania komputerów, jeśli pracują w domu i muszą oderwać się od swoich zadań. Ponadto, upewnij się, że wszystkie urządzenia mają podwójne hasła uwierzytelniające, szyfrowanie i inne tego typu protokoły bezpieczeństwa.

Ostrzegaj i szkol swoich pracowników

Ważne jest, aby Twoi pracownicy byli świadomi, że ich działania, zamierzone lub nie, mogą mieć poważne konsekwencje nie tylko dla nich samych, ale również dla firmy i jej pacjentów. Jeśli zostaną uznani za winnych naruszenia przepisów HIPAA, zwłaszcza takiego, którego naruszenia byli w pełni świadomi, mogą spotkać się ze sztywnymi karami, takimi jak grzywny pieniężne i odsiadka w więzieniu.

Jeśli chcesz chronić swoją firmę, musisz podjąć odpowiednie środki ostrożności, aby upewnić się, że Twoi pracownicy zostali odpowiednio przeszkoleni zgodnie z wytycznymi HIPAA. Można to zrobić, zlecając firmie RSI Security ocenę procesów, kontroli, polityk i procedur szkoleniowych w organizacji. Nasz kompleksowy audyt może pomóc w identyfikacji luk między praktykami a wymaganiami HIPAA, a następnie zapewnić działania nakazowe i szkolenia pracowników.

Zainteresowany? Skontaktuj się z nami już dziś, a pomożemy Ci upewnić się, że pracownicy nie są zmorą Twojej firmy.

Download Our Complete Guide to Navigating Healthcare Compliance Whitepaper

Nie jesteś pewien, czy Twoje wysiłki w zakresie zgodności z przepisami HIPAA lub opieki zdrowotnej są na odpowiednim poziomie? Nie wiesz nawet, od czego zacząć? Pobierz kompleksowy przewodnik firmy RSI Security dotyczący poruszania się w labiryncie zgodności z przepisami HIPAA i opieki zdrowotnej. Po wypełnieniu tego krótkiego formularza otrzymasz whitepaper pocztą elektroniczną.

Źródła

Cornell Law School. 45 CFR 164.512. Wykorzystanie i ujawnianie. https://www.law.cornell.edu/cfr/text/45/164.512

HHS. Współpracownicy biznesowi. https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates/index.html

HHS. Podsumowanie zasad bezpieczeństwa HIPAA. https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html

Northern Illinois University Division of Information Technology. HIPAA Security Rule: Objaśnienia i wskazówki. https://www.niu.edu/doit/policies_root/HIPAA%20Security%20Rule.shtml

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *